快乐三张牌在哪下载

解決方案

  網絡安全解決方案
        電子政務
        電力行業
        教育行業
        保險行業
        企業系統
        稅務行業
        網閘應用案例
        網閘應用測試
        政府門戶網站安全方案
  軟件解決方案
        門戶解決方案
        協同管理解決方案
        中網IT調度綜合管理系統
        經濟數據分析解決方案
        仲裁行業解決方案
        在線交易管理解決方案
        應急指揮解決方案
        數據整合解決方案
 
    電話:027-87367829
    郵箱:support@hbzw.net

  地址:

湖北省武漢市中北路1號楚天都市花園B座16樓
   
   

您的當前位置:首頁 > 解決方案 > 網絡安全解決方案

網閘應用案例

 網閘在社保網絡安全防護中的應用研究

 

      摘要:網閘是新一代高安全性的網絡隔離產品,已經成為繼防火墻之后最受關注的安全產品。網閘很好地解決了隔離斷開和數據交換的難題,在保證兩個網絡完全斷開和協議中止的情況下,以非網絡方式實現了數據交換。同時網閘還提供高速度、高穩定性的數據交換能力,能夠滿足用戶對高安全、高性能、高可靠性的應用需要。本文結合社保網絡實際應用,提出了采用網閘來隔離社保網不同安全域,并設置策略保護核心服務器區域。這種隔離保護措施可操作性強,安全防護效果明顯。      關鍵詞:網閘;社保網;安全防護

 

      0 前言

各級社保網絡信息系統經過多年的建設,已經初具規模。社保網絡上承載或運行著醫療險、養老險、失業險等信息系統。社保網聯接下屬勞動保障經辦單位、定點醫院、藥店、銀行、社區服務中心等相關單位。另外為了方便對社會提供服務和移動辦公需要,社保網還需要與互聯網相聯。

根據業務性質要求及數據高安全性的需要,社保網絡應具備高效、完整的安全體系,能提供7*24小時不間斷的服務。

傳統的安全保護措施是以防火墻、入侵檢測、殺病毒為核心的安全防御體系,這些措施雖然起到了一定的作用,但其隔離防護效果還不盡如人意,而網閘彌補了這些不足,尤其是網閘近似于物理隔離的特性,使得其安全保護性能遠遠超過了防火墻。

1 傳統隔離措施及存在的問題

傳統的網絡安全是通過邊界控制、執行安全政策來完成的。內網和外網,專網和公網,涉密網和非涉密網,互聯網和內聯網,大體上反應了這樣一種劃分。這種二元邏輯劃分,有時候過于簡單,人們采用非戰區(DMZ )或安全服務子網(SSN)的辦法進行補充。通過限制邊界,改善了網絡的安全狀況。

根據社保網絡應用結構和各信息系統的性質,我們將其劃分為五大安全域和三大安全防護邊界。

五大安全域:核心服務器區域(安全級別最高)、網絡安全管理區域、內部辦公區域、對外服務的DMZ區域、二級單位及橫向聯網單位接入區域。

五大安全區域相互之間有多個網絡邊界,其中需要重點布防的邊界是:互聯網邊界(安全威脅最高),二級單位醫保/銀行/稅務接入邊界、DMZ區域與核心服務器區域邊界。傳統的措施是在這些邊界處部署防火墻進行隔離。區域劃分及防火墻部署示意圖如圖1所示。

1 采用防火墻進行隔離示意圖

 

上述隔離辦法存在的主要問題是:

l         由于核心服務器區域的安全級別遠遠高于其它區域,在DMZ區域與核心服務器區域邊界僅僅部署防火墻隔離,而防火墻是邏輯隔離設備,其隔離強度和安全檢查策略不能滿足此處高安全性的要求;

l         在互聯網邊界已有防火墻進行隔離,再在DMZ區域與核心服務器區域邊界又部署防火墻隔離,雖然兩處策略不盡相同,但還是存在同質化的疑慮,即黑客如果攻破了第一道防火墻,那么照樣可以攻破第二道防火墻。

 

2 網閘工作原理

網閘是新一代的高安全性的隔離技術產品。網閘采用“2+1”的結構,即由兩套單邊計算機主機(外部主機、內部主機)和一套固態介質存儲系統的隔離開關組成。由外部主機、內部主機和開關系統組成。

外部的單邊計算機主機,只有外網卡,沒有內網卡。該主機安裝有代理軟件:Agent。這個“Agent”不是內網的一部分,而是外網的一部分。“ Agent”代理內網去外網獲取信息,然后放在指定的地方。

內部的計算機主機,只有內網卡,沒有外網卡。該主機是網閘在內網的連接點,屬于內網的一部分。所有內網的主機需要得到外網上的信息,都必須通過這臺主機來代辦。這臺主機并不是簡單的代理所有的請求,而是執行嚴格的安全政策,內容審查,防泄密,批準或是不批準訪問請求。它從固定的地方取回請求的文件信息,檢查請求回來的數據是否安全,建立內部的TCP/IP網絡連接,將文件數據發回給請求者。

基于固態存儲介質的網絡開關,是網絡隔離的核心。外部單邊計算機主機與內部單邊計算機主機是永遠斷開的。隔離開關邏輯上由兩個開關組成,一個開關處在外部單邊計算機主機和固態存儲介質之間,我們稱之為K1,另一個開關處在內部單邊計算機主機和固態存儲介質之間,我們稱之為K2K1K2在任何時候至少有一個是斷開的,即K1*K2=0,這是物理上固定的,不受任何控制系統的控制。因此,只有三種情況,K1=1K2=0K1=0K2=1K1=0K2=0。如圖2所示。

怎樣在兩個網絡完全斷開的情況下,實現信息的交換,是網閘的關鍵。外部單邊計算機主機,在K1=1K2=0狀態下,將文件信息交給固態存儲介質,類似于交給銀行的保險箱。內部單邊計算機主機,在K1=0K2=1的狀態下,將文件信息從固態存儲介質中取回,相當于從銀行保險箱中取走文件。兩種狀況下,K1*K2=0,即兩個主機是完全斷開的。在K1=0K2=0狀態下,沒有任何信息交換,也是斷開的。

 

2 網閘開關原理

網閘從網絡第一層一直工作到網絡第七層,網閘斷開了兩個網絡,中止了所有的協議,在網絡的第七層將包還原為原始數據或文件,然后以“擺渡文件”的形式來傳遞和交換數據,沒有任何包、命令和TCP/IP協議(包括UDPICMP)可以穿透網閘。

 3網閘在社保網絡中的部署

前面討論了防火墻隔離措施存在的問題,在圖1中,將DMZ區域與核心服務器區域邊界的防火墻,替換為網閘設備,其隔離強度和安全檢查策略就可滿足此處高安全性的要求。同時考慮到此處邊界的重要性和高可用性要求,此處可采用雙機熱備的方式部署網閘,以免出現單點故障。

將網閘的外部主機連接DMZ區交換機,內部主機核心服務器區交換機,外部主機包含外部單邊代理(軟件模塊)、內部主機包含內部單邊代理(軟件模塊),內外網主機代理之間的文件交換均通過網閘的開關系統來擺渡數據,部署示意圖如圖3所示。

3:網閘隔離部署示意圖

 4 網閘的安全保護作用

1)網閘消除了來自外網對內網的攻擊

部署了網閘后,由于外網(DMZ區及Internet)與內網(核心服務器區)是永遠斷開的,加上采用單邊計算機主機模式,中斷了TCP/IP,中斷了應用連接,屏蔽了內部的網絡拓撲結構,屏蔽了內部直接的操作系統漏洞,使基于網絡的攻擊無處可乘。部署網閘使得外網:

l         無法ping涉密網的任何主機;

l         無法穿透網閘來追蹤路由(traceroute);

l         無法掃描內部網絡,因此無法發現內網的主機信息、操作系統信息、應用信息;

l         無法發現內網主機的漏洞、應用的漏洞;

l         無法同內網的主機建立通信連接;

l         無法向內網發送IP包;

l         無法同內網的人格任何主機建立TCP/UDP/ICMP連接;

l         無法同內網的任何主機建立應用連接(C/SB/S)。

2)網閘消除了對自身攻擊的威脅和風險

用于對外訪問的網閘的外部主機,本身不對外提供任何服務,也不向外開放任何端口,只主動向外請求服務。因此,外網上的計算機不能對網閘外部主機的任何端口進行連接,從而無法進行攻擊。任何主動向網閘發起的連接都被拒絕。

網閘主機采用了抗攻擊內核的技術,完全屏蔽了外部主機的存在,因此無法攻擊。

網閘的雙主機結構消除了網閘的操作系統漏洞的威脅。雙主機之間的開關,是一個完全的硬件介質,沒有操作系統沒有軟件,沒有狀態,沒有任何控制單元,因此,完全無法攻擊。這既保證了即使退一萬步,外部主機的操作系統的漏洞被曝光,也無法對內網的內部主機進行刺探,因為開關是完全無法進行攻擊的。

在最壞的情況下,外部主機的操作系統漏洞被曝光,黑客所能做的最壞的結果是,向開關發送無效的數據,這個我們不用擔心,因為內網的內部主機的鑒別和過濾程序會拒絕這些數據;破壞操作系統并關閉外部主機,這個我們也不擔心,因為網閘在這種情況下,還是物理斷開的。因為網絡隔離的安全偵測是,如果不能保證安全就斷開。

3)網閘采用了內容過濾和檢查機制來防信息泄露

l         URL進行格式過濾、內容過濾和控制;

l         URL執行白名單或黑名單過濾;

l         GET進行格式過濾、內容過濾和控制;

l         GET的文件類型進行限制;

l         POST進行內容過濾;

l         POST進行類型、格式控制;

l         對交換的數據進行防病毒檢查、進行防惡意代碼檢查;

l         對交換數據包含的命令、協議進行檢查;

l         對重定向進行限制;

l         通過應用代理來執行嚴格的應用規范檢查。

4)網閘可建立單向信息流入政策

網閘在內網中執行的是一種單向信息流入的服務政策,即內網可以訪問外網,但外網不能訪問內網。如在DMZ區部署前置機,通過網閘將社保核心服務器上的數據擺渡到前置機上,供Internet上的用戶進行查詢,但Internet上的用戶不允許直接訪問到核心服務器上。

另外還可在 DMZ區部署前置服務器,收集和接收Internet上用戶(如社區用戶通過Internet)上傳過來的信息,經過加工處理再通過網閘單向傳遞給核心服務器,供內部使用。

同時在此基礎上,網閘還采取多重措施,嚴防泄密。這些措施包括:身份認證、格式控制機制、關鍵詞過濾機制、訪問控制技術等措施。

 5 結束語

在實際應用中,我們采用兩臺中網網閘X-GAP8500(雙機熱備)來隔離社保網核心服務器區域與DMZ區域。經過收發包測試,發包計算機所發數據包不會直接通過TCP協議棧到達收包計算機,在網閘的內外端機采用應用代理進行協議終止,并在應用層進行協議過濾,未知協議不能通過網閘。網閘的安全強度大大高于防火墻,安全防護效果明顯,并且運行穩定。類似的網閘應用還可推廣到網上稅務、網上財政、網上銀行、網上證券、網上工商、網上電力營銷等系統。

三张牌的游戏 sm捆绑静电胶带 云南十一选五每天开几期 东京热0753资源链接 股票融资利息一般多 单机四川麻将 美国股票指数道琼斯 什么是权重股 516棋牌游戏大厅 江苏七位数开奖走势 免费麻将下载 浙江11选五开奖结果 11选5开奖 cba比分推荐 一码一肖100准 微乐捉鸡麻将下载 顺配宝